Penetration Testing: Einführung

Kapitel 1 Einleitung IT-Sicherheit ist ein Thema, das im betrieblichen Alltag eine große Rolle spielt. Spä- testens seit der Einführung von gesetzlichen Regelungen, die das Management bei Nachlässigkeiten in diesem Bereich zur Verantwortung ziehen, wird die Bedeu- tung von Sicherheitskonzepten, deren sorgfältigen Umsetzung und einer regelmä- ßigen Kontrolle nicht in Frage gestellt. Bei der Kontrolle der Sicherheit durch regelmäßige Security-Audits hat sich eine Vorgehensweise in Anlehnung an etablierte Standards als nützlich erwiesen. Bei- spiele hierfür sind das IT-Grundschutzhandbuch des Bundesamts für Sicherheit in der Informationstechnik oder die ISO-Norm 17799. Innerhalb eines Security- Audits können viele Fragestellungen durch Interviews, Begehungen oder techni- sche Tools wie Security-Scanner abgedeckt werden. Für spezielle Untersuchungen dagegen ist der Penetrationstest ein Werkzeug, das Schwachstellen aufdeckt, die mit anderen Methoden nicht gefunden werden. 1.1 Notwendigkeit von Penetrationstests Seit der Ablösung von homogenen Großrechnerstrukturen durch dezentrale Sys- teme ist die IT-Struktur von Unternehmen und Behörden komplizierter geworden. Heterogene Umgebungen, verteilte Anwendungen und vor allem die direkte Anbindung von Partnern und Kunden über das Internet schaffen Strukturen und Prozesse, die in ihren Abläufen komplex sind. Die Wahrscheinlichkeit einer Sicherheitslücke oder einer Fehlfunktion steigt mit der Größe und Komplexität eines Systems. Deshalb ist es kein Wunder, dass fast täglich neue Sicherheitslücken bei Betriebssystemen und Anwendungen gemeldet werden. In vielen Fällen werden die zur Nachbesserung benötigten Updates vom Hersteller schnell geliefert, doch da diese erst getestet werden müssen, bleiben die Lücken noch eine mehr oder minder lange Zeit offen. Für andere Systeme gibt es keine Nachbesserung mehr, sei es, weil es sich um eine vom Hersteller nicht mehr unterstützte Software handelt, sei es, weil es sich um eine Open-Source-Software handelt, für die Updates nur schleppend herausgebracht werden. Aus diesem Versatz zwischen Auftreten und Schließen von Sicherheitslücken und der Erkenntnis, dass in einem größeren Software-Paket immer wieder neue Bugs gefunden werden, lässt sich schließen, dass es unter dem Aspekt der IT-Sicherheit keine perfekten Systeme geben kann. © des Titels »Penetration Testing« (ISBN 3-8266-1621-9) 2006 by Redline GmbH, Heidelberg Nähere Informationen unter: http://www.mitp.de/1621 Kapitel 1 Einleitung Eine Sicherheitslücke ist nicht gleichbedeutend mit der Möglichkeit eines Angriffs. Durch viele Standardverfahren, wie etwa den Einsatz von Firewalls oder Virenscan- nern, kann eine IT-Struktur auch bei bestehenden Sicherheitslücken vor Angriffen geschützt werden. Allerdings besteht die Gefahr, dass über eine neu entdeckte Fehl- funktion in einem System andere Sicherheitslücken, die bisher nicht zu einem Angriff genutzt werden konnten, nun offen zugänglich sind. Solche indirekten Angriffsmöglichkeiten können innerhalb eines Security-Audits mit Interviews, Begehungen und einem Security-Scan nicht zuverlässig gefunden werden. Die von ihrem Ansatz her noch am besten geeigneten Security-Scanner suchen automatisch nach Sicherheitslücken, die sie in ihrer Datenbank haben. Dabei schließen sie von bestimmten Symptomen wie etwa älteren Programmversi- onen oder nicht installierten Patches auf eine Angriffsmöglichkeit. Fehler, die nicht in ihrer Datenbank hinterlegt sind oder die sich aus dem Zusammenspiel mehrerer Komponenten ergeben, werden nicht entdeckt. Hier setzt der Penetrationstest als ergänzende Maßnahme an. Mit ihm werden spe- zielle Fragestellungen untersucht, die meist bei Zugängen zu IT-Systemen mit besonderem Sicherheitsbedarf oder aber im komplexen Zusammenspiel mehrerer Systeme liegen. í Bei Systemen mit besonderem Sicherheitsbedarf stellt der Penetrationstest si- cher, dass bei den zuvor durchgeführten anderen Prüfungen in Form von Inter- views, Begehungen und Security-Scans keine Nachlässigkeiten passiert sind. í Beim Zusammenspiel mehrerer Systeme ist der Penetrationstest die einzige zuverlässige Untersuchung. 1.2 Organisatorische Einbettung Der größte Unterschied zwischen einem »gewöhnlichen« Hacker und einem Pene- trationstester ist die organisatorische Einbettung des Penetrationstests. Während bei einem Hacker der erfolgreiche Einbruch in eine IT-Infrastruktur das Kriterium für den Erfolg ist, kommt es beim Penetrationstest vor allem auf eine saubere, nachvollziehbare Dokumentation der gefundenen Sicherheitslücken und die Vor- schläge zu deren Beseitigung an. Daraus ergeben sich Differenzen zwischen der Vorgehensweise eines Hackers und der eines Penetrationstesters: í Während bei einem Hacker die »Kollateralschäden«, also die während des An- griffs zu Schaden gekommenen IT-Systeme, keine Rolle spielen, sind solche Schäden bei einem Penetrationstest möglichst klein zu halten. í Für einen Hacker ist die Dokumentation eines Angriffs nur insofern von Be- deutung, als dass er einen ähnlichen Erfolg auch bei anderen Systemen erzielen möchte. Bei einem Penetrationstest ist die Dokumentation ein wesentlicher Be- standteil des Arbeitsauftrags. 12 © des Titels »Penetration Testing« (ISBN 3-8266-1621-9) 2006 by Redline GmbH, Heidelberg Nähere Informationen unter: http://www.mitp.de/1621 Prinzipielle Vorgehensweise í Ein Hackerangriff kann zu jeder Tages- und Nachtzeit erfolgen, so wie es den Wünschen des Angreifers entspricht. Die Zeiten für einen Penetrationstest müssen sorgfältig geplant werden, um die betrieblichen Auswirkungen in kal- kulierbaren Grenzen zu halten. í Ein Hacker setzt bei seinen Angriffen alle ihm verfügbaren Mittel ein. Das gilt für einen Penetrationstester prinzipiell auch, doch kann es hier Grenzen geben, die durch den zuvor festgelegten Umfang der Arbeiten bestimmt werden. í Bei einem Penetrationstest besteht zwischen dem Tester und der zu testenden Institution eine vertragliche Vereinbarung, sei es durch einen Werkvertrag oder bei internen Tests durch den Arbeitsvertrag. í Ebenfalls vertraglich geregelt ist bei einem Penetrationstest die Verpflichtung des Testers zur Verschwiegenheit bzw. die Erlaubnis, im Rahmen der Arbeiten auf geschützte Daten zugreifen zu dürfen. Solche Pflichten und Rechte hat ein Hacker nicht. í Für die so genannten Birthday-Attacken, bei denen zu einer gegebenen Sicher- heitslücke bzw. zu einem existierenden Angriffsprogramm die passenden Rechner oder Netzwerke gesucht werden, gibt es beim Penetrationstest keine Entsprechung. Hier geht es um ein konkretes Ziel in einem vorgegebenen Netzwerk. í Aus diesen Überlegungen ergibt sich die Notwendigkeit einer engen Einbin- dung der durchzuführenden Arbeiten in die eigene Organisation. Penetrations- tests nach dem Motto »Macht mal und seht, was ihr herausbekommt« sind möglich, aber in der Praxis eher selten. 1.3 Prinzipielle Vorgehensweise Neben den oben skizzierten Unterschieden gibt es viele Gemeinsamkeiten zwi- schen Hackern und Penetrationstestern, vor allem bei den technischen Untersu- chungen. Sind die vertraglichen und organisatorischen Bedingungen festgelegt, läuft ein Penetrationstest in den meisten Fällen nach folgendem Muster ab: í Je nach Umfang des Vorwissens des Testers bzw. den ihm vorab übergebenen Informationen werden öffentliche Quellen angezapft, um genügend Datenma- terial zur Durchführung der Tests zu erhalten. Dieser Vorgang wird als Footprin- ting bezeichnet, da er die »Fußstapfen im Schnee«, die jede Organisation im In- ternet hinterlässt, verfolgt und auswertet. í Die für den Penetrationstest ausgewählten Systeme werden einer gründlichen Analyse unterzogen, um möglichst detaillierte Informationen über das instal- lierte Betriebssystem sowie Typ und Version der zusätzlich installierten Anwen- dungen zu erhalten. Bei Systemen, die über das Netzwerk erreichbar sind, wer- den solche Untersuchungen mittels so genannter Portscanner durchgeführt. Diese Tools versuchen, sich mit Netzwerk-Applikationen zu verbinden und stel- 13 © des Titels »Penetration Testing« (ISBN 3-8266-1621-9) 2006 by Redline GmbH, Heidelberg Nähere Informationen unter: http://www.mitp.de/1621 Kapitel 1 Einleitung len so deren Existenz fest. Außerdem kann so auch das Betriebssystem identifi- ziert werden. í Weitere Tests ziehen aus Feinheiten in der Reaktion auf bestimmte Netzwerk- pakete Rückschlüsse auf die Versionen der eingesetzten Betriebssysteme und Anwendungen. Diese Untersuchung weist Analogien zur polizeilichen Ermitt- lungsarbeit mit Fingerabdruck-Karteien auf und wird deshalb auch als Finger- printing bezeichnet. í Aufgrund der vorliegenden Informationen wird nun eine Recherche nach po- tenziellen Sicherheitslücken vorgenommen. í Zu jeder dieser Schwachstellen werden Tools zur weiteren Analyse oder direkt Angriffs-Tools (Exploits) beschafft, die unter Ausnutzung der jeweiligen Sicher- heitslücke einen Zugriff auf die Systeme zulassen.